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33 662 Wijziging van de Wet bescherming 

persoonsgegevens en enige andere wetten in 
verband met de invoering van een meldplicht bij 
de doorbreking van maatregelen voor de 
beveiliging van persoonsgegevens alsmede 
uitbreiding van de bevoegdheid van het College 
bescherming persoonsgegevens om bij 
overtreding van het bepaalde bij of krachtens de 
Wet bescherming persoonsgegevens een 
bestuurlijke boete op te leggen (meldplicht 
datalekken en uitbreiding bestuurlijke 
boetebevoegdheid Cbp) 

Nr. 12 AMENDEMENT VAN DE LEDEN SCHOUW EN OOSENBRUG 

Ontvangen 29 januari 2015 

De ondergetekenden stellen het volgende amendement voor: 


In artikel I wordt onderdeel A als volgt gewijzigd: 

1. In onderdeel 1 wordt «die ernstige nadelige gevolgen heeft voor de 
bescherming van de persoonsgegevens» vervangen door: waarvan 
redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijke 
kans op nadelige gevolgen voor de bescherming van persoonsgegevens. 

2. In onderdeel 2 wordt «die ernstige nadelige gevolgen heeft voor de 
bescherming van de persoonsgegevens» vervangen door: waarvan 
redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijke 
kans op nadelige gevolgen voor de bescherming van persoonsgegevens. 

3. In onderdeel 4 wordt «die ernstige nadelige gevolgen heeft voor de 
bescherming van de persoonsgegevens» vervangen door: waarvan 
redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijke 
kans op nadelige gevolgen voor de bescherming van persoonsgegevens. 

II 

In artikel I, onderdeel B, onder 2, wordt artikel 34a als volgt gewijzigd: 

1. In het eerste lid wordt «die ernstige nadelige gevolgen heeft voor de 
bescherming van de verwerkte persoonsgegevens» vervangen door: 
waarvan redelijkerwijs kan worden aangenomen dat die leidt tot een 
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aanmerkelijke kans op nadelige gevolgen voor de bescherming van 
persoonsgegevens die door hem worden verwerkt. 

2. In het vierde lid wordt «de gevolgen van de inbreuk voor de 
verwerkte persoonsgegevens» vervangen door: de geconstateerde en de 
vermoedelijke gevolgen van de inbreuk voor de verwerking van persoons¬ 
gegevens. 

3. Het zesde lid komt te luiden: 

6. De kennisgeving aan de betrokkene is niet vereist indien de verant¬ 
woordelijke gepaste technische beschermingsmaatregelen heeft genomen 
waardoor de persoonsgegevens die het betreft versleuteld zijn of 
anderszins onbegrijpelijk zijn gemaakt voor eenieder die geen recht heeft 
op kennisname van de gegevens. 

4. Het achtste lid komt te luiden: 

8. De verantwoordelijke houdt een overzicht bij van alle inbreuken op de 
beveiliging, bedoeld in het eerste lid. Het overzicht bevat in ieder geval 
feiten en gegevens omtrent de aard van de inbreuk, bedoeld in het derde 
lid, alsmede de tekst van de kennisgeving aan de betrokkene. 

Toelichting 

De indieners zijn van mening dat in een tijdperk van sterk toenemende 
gegevensverzameling, de meldplicht datalekken een belangrijke 
toevoeging is aan de mogelijkheden om persoonsgegevens te 
beschermen. 

Bovendien draagt de meldplicht bij aan een sterkere positie van burgers 
in de bescherming van hun persoonsgegevens. 

Indieners zijn van mening dat de meldplicht alleen een belangrijke 
toevoeging aan de bescherming van persoonsgegevens biedt indien 
datalekken niet slechts worden gemeld in die gevallen waarbij reeds 
sprake is geweest van ernstige nadelige gevolgen. De toezichthouder, het 
College bescherming persoonsgegevens, moet ook kunnen optreden 
indien de aanmerkelijke kans bestaat op negatieve gevolgen. 

Versleutelde bestanden met persoonsgegevens die worden ontvreemd 
hoeven niet aan de betrokkene gemeld te worden aangezien ongunstige 
gevolgen niet direct waarschijnlijk zijn. Niettemin vinden de indieners dat 
in geval van een ontvreemding van een dergelijk bestand, melding bij het 
College bescherming Persoonsgegevens wel gewenst is. Bestanden die 
nu nog voldoende beveiligd lijken kunnen mogelijk met nieuwe 
technieken alsnog gedecodeerd worden. Dat kan betekenen dat een risico 
zich op enig moment alsnog kan voordoen en daar dient het College 
bescherming Persoonsgegevens van op de hoogte te zijn. Zodoende zijn 
de indieners van mening dat het zesde lid niet geherformuleerd dient te 
worden zoals de regering voorstelt bij nota van wijziging, maar gehand¬ 
haafd dient te blijven zoals oorspronkelijk door de regering voorgesteld. 
Zodoende dient de melding aan het College bescherming Persoonsge¬ 
gevens plaats te vinden, óók als de verantwoordelijke gepaste technische 
beschermingsmaatregelen heeft genomen waardoor de persoonsge¬ 
gevens die het betreft versleuteld zijn of anderszins onbegrijpelijk zijn 
gemaakt voor eenieder die geen recht heeft op kennisname van de 
gegevens. 
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Het oorspronkelijk voorgestelde achtste lid van artikel 34a, waarin een 
zelfstandige verplichting wordt opgelegd om intern binnen de organisatie 
een overzicht bij te houden van alle inbreuken met de aanmerkelijke kans 
op nadelige gevolgen voor persoonsgegevens, dient te worden gehand¬ 
haafd 

Kortom, de indieners vinden dat de wettelijke drempel voor het melden 
van inbreuken niet verhoogd moet worden zoals door de regering in de 
nota van wijziging (Kamerstukken II, 2013/14, 33 662, nr. 6) voorgesteld. 
Het College bescherming Persoonsgegevens dient een goed beeld te 
hebben van inbreuken met een aanmerkelijke kans op nadelige gevolgen 
voor de privacy zodat privacy risico's tijdig kunnen worden afgewend dan 
wel verminderd.Onderhavig amendement herstelt zodoende de reikwijdte 
van de meldplicht zoals neergelegd in artikel 34a, eerste, vierde en zesde 
lid van de Wet bescherming persoonsgegevens naar de staat zoals was 
neergelegd in het oorspronkelijke wetsvoorstel. 

Schouw 

Oosenbrug 
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